2018年に施行されたEU圏に居住する人々の個人情報を保護するためのGDPRは、EU圏に少しでも関わりがある企業であれば遵守しなければならない可能性があります。とはいえ、GDPRとはどのようなものなのかよく分からないという方もいるのではないでしょうか。

日本国内で活動している企業でも、場合によってはGDPRが適用されるかもしれません。そこで今回は、GDPRの押さえておきたい概要や企業が対応すべきポイントを、まとめて分かりやすく解説します。

GDPRとは

GDPRは日本語で「EU一般データ保護規則」と呼ばれる、欧州議会、欧州委員会、欧州理事会の三者が制定した個人情報保護のための取り決めです。正式には「General Data Protection Regulation」であり、GDPRはそれぞれの単語の頭文字から取られています。

GDPRの目的

最近では世界的にビッグデータの活用が進み、あらゆるデータが収集されて分析の対象となっています。そのため、個人情報が漏れたり悪用されたりしないように保護する目的でGDPRが策定されました。

EU圏内では1995年に策定された「EUデータ保護指令」が広く用いられていましたが、さらに基準を厳しく設けているのがGDPRの特徴です。対象となるのはEU圏に居住するすべての個人で、個人情報を能動的に管理することで外部から保護する効果が期待されています。

GDPRは2012年に立案されてからさまざまな議論を重ねて2018年5月に施行されており、対象となる個人のデータを扱う世界中の事業者にGDPRの遵守を求めています。

GDPRの対象となるデータは？

GDPRが適用されるのは、「EU加盟国＋EEA加盟3ヶ国（リヒテンシュタイン、ノルウェー、アイスランド）」に居住しているすべての人と、該当国で就業するすべての従業員の個人情報に結び付いているデータです。

日本が定めている個人情報保護法も基本的には効力が発揮される範囲は同じですが、GDPRには個人情報保護法では言及していないIPアドレスなどの一部項目も保護対象に含まれます。

GDPRの日本企業への影響

GDPRは日本企業へどのような影響を及ぼすのでしょうか。GDPRが影響するケースは次の4つに分けられるため、それぞれのケース別に見ていきましょう。

EUに設置された子会社、支店、営業所で個人データを取り扱っている場合

所在地がEU圏内の事業所は、データ管理責任者としてGDPRが求めている項目がひととおり適用されます。ここでいう「管理者」とは、「個人や法人であり、なおかつ単独または複数人が共同で個人情報の使用方法や目的を決める人のこと」を指しています。

EUに事業所はないが、EUに住む顧客の個人データを取り扱っている場合

EU圏内には事業所が所在していないものの、GDPRが適用される国に対してビジネスを行なっており、該当地域の個人情報を集める機会がある場合はGDPRの項目が全般的に適用されます。

例えば越境ECでEU向けに商品を販売したり、現地の企業をサポートするためのコールセンターを開設していたりする場合はこの項目に該当します。

EU内で収集した個人データの移転を受けている場合

EU圏内の企業が集めた個人情報をGDPR適用外の国に対して送信したり、GDPR適用外の国から現地法人の個人情報が格納されたシステムにアクセスできたりする場合は、「データ移転」に該当します。

日本とEUの間では「十分性認定」という取り決めがされているため、例外的にデータ移転は可能になっていますが、GDPRを守らなくて良いというわけではないため、該当する際は内容をよく確認してデータを取り扱うことが大切です。

業務委託などでEUに住む顧客の個人データを取り扱っている場合

自社が直接的にデータを収集しているわけではないものの、EU圏に居住している人の個人情報を業務委託などで扱うケースにおいては、GDPRでは「処理者」という立場に該当します。

「処理者は管理者の指示以外でデータを処理してはならない」「管理者との間に処理に関する契約を書面で結ばなければならない」という2点が要求されます。

GDPRに違反するとどうなるのか

GDPRに違反すると、あらかじめ定められた上限金額を基準に莫大な制裁金を支払わなければならない可能性があります。制裁金は「企業の全世界年間売上高の2％」もしくは「1,000万ユーロ」のどちらか高い方と定められており、1,000万ユーロは日本円で約12億7,500万円にものぼります。

また、悪質なケースでは2,000万ユーロの制裁金が適用されることもあるため、くれぐれも違反しないように慎重な運用を心がけることが大切です。

GDPRへの対応プロセス

GDPRに対応するための具体的なプロセスについて解説します。思わぬ場面で違反しないためにも、自社がGDPRの遵守に該当しないかどうか十分に調査しておくことが大切です。

1.EUからのアクセスを調査する

日本国内のユーザーを対象とした日本語のみの商材であれば、現時点ではGDPRへの対応は必要ありません。

しかし、日本語のサイトであってもEU圏のユーザーが利用している可能性はあります。自社でCookieをはじめとした訪問履歴が残る仕組みを採用しているのであれば、GDPRが適用される国々からのアクセスがないかどうか調査しましょう。

もしアクセスが多い場合は、GDPRに則った個人情報の取り扱いを意識する必要があります。

2.EU圏への商品やサービスの提供はGDPRを守る

EU圏への商品やサービスを提供している場合は、GDPRの遵守が必要不可欠です。管理者として、GDPRが要求しているすべての事項を満たした適切な管理を心がけましょう。

3.データの収集元がGDPRに対応しているか調べる

自社がなんらかの情報提供元からデータを収集している場合、収集元がGDPRに適切に対応しているかどうかも調べておく必要があります。

万が一未対応のデータを収集していた場合は、自社もGDPRに対応していないデータを扱っていることになり、罰則の対象となる恐れがあるため十分に注意することが大切です。

4.GDPRに対応済みのデータを販売する

データの販売者側に回る場合にも、GDPRに対応済みのデータを販売しましょう。適切な対応を行っていなければ取引が中断するリスクもあるため、自社の扱うデータがGDPRの要求事項を満たしているかを詳細にチェックする必要があります。

GDPRの今後の動向

アメリカでは「CONSENT法案」という「個人情報を利用する際に人々の同意を求めなければならない」という法律が施行されており、GDPRのような動きは全世界に広がりつつあります。

日本ではまだ個人情報保護法以上の具体的な法律制定の動きはありませんが、ゆくゆくは同様の動きがみられる可能性もあるため、個人情報の取り扱いは慎重に行う必要があるでしょう。

かつてはGDPRの登場によって、ターゲティングによるマーケティング活動が難しくなるのではないかという懸念もありましたが、技術的な懸念が解消されてGDPRを遵守してもその点については問題なく運用できるようになっています。

今後も世界の動向に注目しながら、新たな個人情報保護の動きがないかどうかを入念に調査する必要があるといえます。特にグローバル企業では日本国外の動きを積極的にキャッチし、新たな動きがあれば迅速に対応できる体制を日頃から整えておくことが大切です。

まとめ

GDPRはEU圏に居住するすべての個人に対して適用されるため、日本国内で活動する企業であっても、該当の国々に向けて商品を提供しているなら対応しなければならない規則です。データを預かって二次的に処理しているだけの場合でも、相応の対応を求められる点には注意しましょう。

違反すると高額な罰金が課せられる可能性もあるため、自社がGDPRの対象になっているかどうかを必ず調査した上で、適切に対処することが大切です。本記事でもご紹介した対応プロセスにもとづいて、まずは対応が必要かどうかをチェックしてみましょう。